V GRUB2 odhalili dvě zranitelnosti

David Y. Naranjo

4 minut

zranitelnost

Pokud jsou tyto chyby zneužity, mohou útočníkům umožnit získat neoprávněný přístup k citlivým informacím nebo obecně způsobit problémy

Podrobnosti o dvou zranitelnostech v zavaděči GRUB2 byly zveřejněny na strmůže vést ke spuštění kódu při použití speciálně navržených písem a manipulaci s určitými sekvencemi Unicode.

Je zmíněno, že zjištěné zranitelnosti jsoue lze použít k obejití spouštěcího mechanismu ověřeného UEFI Secure Boot. Zranitelnosti v GRUB2 umožňují spuštění kódu ve fázi po úspěšné verifikaci shim, ale před načtením operačního systému, čímž se přeruší řetězec důvěry s aktivním režimem Secure Boot a získá plnou kontrolu nad procesem po spuštění, např. spustit jiný operační systém, upravit součásti operačního systému a obejít ochranu uzamčením.

Pokud jde o zjištěné zranitelnosti, uvádí se následující:

  • CVE-2022-2601: přetečení vyrovnávací paměti ve funkci grub_font_construct_glyph() při zpracování speciálně vytvořených písem ve formátu pf2, ke kterému dochází v důsledku nesprávného výpočtu parametru max_glyph_size a přidělení oblasti paměti, která je zjevně menší, než je potřeba pro umístění glyfů.
  • CVE-2022-3775: Při vykreslování některých řetězců Unicode ve vlastním písmu je zápis mimo hranice. Problém je přítomen v kódu zpracování písem a je způsoben nedostatkem správných ovládacích prvků, které by zajistily, že šířka a výška glyfu odpovídá dostupné velikosti bitmapy. Útočník může sklízet vstup takovým způsobem, že způsobí vypsání fronty dat z přidělené vyrovnávací paměti. Je třeba poznamenat, že navzdory složitosti využívání této chyby zabezpečení není vyloučeno vystavení problému spuštění kódu.

Úplné zmírnění všech CVE bude vyžadovat opravy aktualizované nejnovější SBAT (Secure Boot Advanced Targeting) a data poskytovaná distribucemi a dodavateli.
Tentokrát se nepoužije seznam zneplatněných UEFI (dbx) a odvolání nefunkčních
artefakty budou vyrobeny pouze pomocí SBAT. Informace o tom, jak aplikovat
nejnovější odvolání SBAT, viz mokutil(1). Opravy dodavatele mohou explicitně umožňují zavádění starších známých zaváděcích artefaktů.

GRUB2, shim a další zaváděcí artefakty od všech dotčených dodavatelů budou aktualizovány. bude k dispozici po zrušení embarga nebo nějakou dobu poté.

O tom je zmínka většina linuxových distribucí používá malou záplatovou vrstvu, digitálně podepsané společností Microsoft, pro ověřené spouštění v režimu zabezpečeného spouštění UEFI. Tato vrstva ověřuje GRUB2 s vlastním certifikátem, což umožňuje vývojářům distribucí necertifikovat každou aktualizaci jádra a GRUB u společnosti Microsoft.

Chcete-li zablokovat zranitelnost bez zrušení digitálního podpisu, distribuce může použít mechanismus SBAT (UEFI Secure Boot Advanced Targeting), který podporují GRUB2, shim a fwupd na většině populárních distribucí Linuxu.

SBAT byl vyvinut ve spolupráci se společností Microsoft a zahrnuje přidávání dalších metadat do spustitelných souborů komponenty UEFI, včetně informací o výrobci, produktu, komponentě a verzi. Zadaná metadata jsou digitálně podepsána a lze je zahrnout do samostatných seznamů povolených nebo zakázaných součástí pro zabezpečené spouštění UEFI.

SBAT umožňuje blokovat použití digitálního podpisu pro čísla verzí jednotlivých komponent bez nutnosti zrušit klíče pro Secure Boot. Blokování zranitelností prostřednictvím SBAT nevyžaduje použití UEFI CRL (dbx), ale spíše se provádí na úrovni výměny interního klíče za účelem generování signatur a aktualizace GRUB2, shim a dalších zaváděcích artefaktů poskytovaných distribucemi.

Před zavedením SBAT byla aktualizace seznamu zneplatněných certifikátů (dbx, UEFI Revocation List) nezbytným předpokladem pro úplné zablokování zranitelnosti, protože útočník, bez ohledu na použitý operační systém, mohl používat zaváděcí médium. se zranitelnou starší verzí GRUB2 certifikovaný digitálním podpisem pro kompromitaci UEFI Secure Boot.

Konečně Za zmínku stojí, že oprava byla vydána jako patch., k opravě problémů v GRUB2 nestačí aktualizovat balíček, budete také muset vytvořit nové interní digitální podpisy a aktualizovat instalační programy, zavaděče, balíčky jádra, fwupd-firmware a shim-layer.

Stav nápravy zranitelnosti v distribucích lze posoudit na těchto stránkách: ubuntu, SUSE, RHELFedoraDebian.

Více o tom můžete zkontrolovat v následující odkaz.